巴中市妇幼保健院医院信息系统等级保护测评服务采购项目院

--巴中市妇幼保健院医院信息系统等级保护测评服务采购项目院内招标公告根据巴中市卫生健康委员会、巴中市公安局《关于在全市卫生健康行业开展网络安全等级保护工作的通知》文件要求，本院拟进行网络安全二级等级保护建设，现面向社会公开招标信息系统等级保护测评服务机构，特邀请符合本次采购要求的供应商参加本项目的招标。一、采购项目基本情况采购项目名称：巴中市妇幼保健院医院信息系统等级保护测评服务采购项目；具体详见招标文件。二、对供应商资格要求1.具有独立承担民事责任的能力；2.具有网络安全等级保护测评机构证书；3.具有良好的商业信誉和健全的财务会计制度；4.具有履行合同所必需的设备和专业技术能力；5.有依法缴纳税收和社会保障资金的良好记录；6.参加采购活动近三年内，在经营活动中没有重大违法记录；7.法律、法规行政规定的其他条件。三、公告时间、投标截止时间公告时间：自公告之日起至2019年8月15日截止，投递标书截止时间：2019年8月19日上午9点。四、投标要求投标企业需提交有效期材料，且投标文件每页须加盖鲜章。标书须整体密封加盖印签后投递至巴中市妇幼保健院总务科。招标过程中，招标人不收取投标人任何费用，投标文件及资料概不退还。投递标书地址信息如下：地址：巴中市秦巴大道西段14号巴中市妇幼保健院收件科室：总务科联系电话编：636000五、评标办法及组织形式招标人院办公会现场开标评选，综合评价确定中标。六、纪律要求投标人不得有以下情形，否则将追究其法律责任。1.提供虚假材料；2.采取零报价或者变相零报价，低于成本价，诋毁其他供应商及其他不正当手段竞标；3.与招标人评标小组成员或者其他供应商串通；4.不依法签订成交合同；5.不按照合同约定和投标文件履行合同；6.向招标工作人员行贿或者提供不正当好处。七、中标公示本次采购活动比选结果将在巴中市妇幼保健院网站和院务公开栏公示。医院总务科不接受评标质询。若有质疑，请向本院监察室和上级纪检监察部门反映。巴中市妇幼保健院2019年8月8日附件：巴中市妇幼保健院医院信息系统等级保护测评服务采购项目招标文件1、项目服务内容项目需求根据等级保护测评的工作要求，测评范围覆盖安全管理、物理安全、网络安全、主机安全、应用安全、数据安全等方面。具体服务内容包括：（1）协助业主单位进行信息系统的信息安全等级定级和备案工作。（2）差距测评，至少包括：安全技术测评。包括物理安全、网络安全、主机系统安全、应用安全和数据安全等五个方面的安全测评。安全管理测评。包括安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评。形成问题汇总及整改意见报告。依据测评结果，对等级测评结果进行汇总统计；通过对信息系统基本安全保护状态的分析给出初步测评结论。根据测评结果制定《系统等级保护测评问题汇总及整改意见报告》，列出被测信息系统中存在的主要问题以及整改意见。（3）协助完成整改工作。依据整改方案，为安全整改的各项工作提供技术咨询服务。（4）等级测评，至少包括：按照等级保护相关标准对系统从技术、管理等方面进行安全等级测评工作。编制测评报告，制定并提交《系统信息安全等级测评报告》。1.1、二级系统测评指标1.1.1、物理安全测评在内容上，物理安全层面测评实施过程涉及以下几个方面（以安全保护二级基本指标为例）：物理安全测评指标描述序号工作单元名称工作单元描述1物理位置的选择通过访谈物理安全负责人，检查屏蔽机房和主机房等过程，测评屏蔽机房和主机房等信息系统物理场所在位置上是否具有防雷、防风和防雨等多方面的安全防范能力。2物理访问控制通过访谈物理安全负责人，检查屏蔽机房和主机房出入口、机房分区域情况等过程，测评信息系统在物理访问控制方面的安全防范能力。3防盗窃和防破坏通过访谈物理安全负责人，检查屏蔽机房和主机房的主要设备、介质和防盗报警系统等过程，测评信息系统是否采取必要的措施预防设备、介质等丢失和被破坏。4防雷击通过访谈物理安全负责人，检查屏蔽机房和主机房的设计/验收文档，测评信息系统是否采取相应的措施预防雷击。5防火通过访谈物理安全负责人，检查屏蔽机房和主机房的设计/验收文档，检查机房防火设备等过程，测评信息系统是否采取必要的措施防止火灾的发生。6防水和防潮通过访谈物理安全负责人，检查屏蔽机房和主机房的除潮设备等过程，测评信息系统是否采取必要措施来防止水灾和机房潮湿。7防静电通过访谈物理安全负责人，检查屏蔽机房和主机房等过程，测评信息系统是否采取必要措施防止静电的产生。8温湿度控制通过访谈物理安全负责人，检查屏蔽机房和主机房温湿系统，测评信息系统是否采取必要措施对机房内的温湿度进行控制。9电力供应通过访谈物理安全负责人，检查屏蔽机房和主机房供电线路、设备等过程，测评信息系统是否具备提供一定的电力供应的能力。10电磁防护通过访谈物理安全负责人，测评信息系统是否具备一定的电磁防护能力。1.1.2、网络安全测评在内容上，网络安全层面测评实施过程涉及以下几个方面（以安全保护二级基本指标为例）：网络安全测评指标描述序号工作单元名称工作单元描述1结构安全通过访谈网络管理员，检查网络拓扑情况、抽查核心交换机、接入交换机和接入路由器等网络互联设备，测试系统访问路径和网络带宽分配情况等过程，测评分析网络架构与网段划分、隔离等情况的合理性和有效性。2访问控制通过访谈安全员，检查防火墙等网络访问控制设备，测试系统对外暴露安全漏洞情况等过程，测评分析信息系统对网络区域边界相关的网络隔离与访问控制能力。3网络安全审计通过访谈审计员，检查核心交换机、汇聚交换机、接入交换机和接入路由器等网络互联设备的安全审计情况等，测评分析信息系统审计配置和审计记录保护情况。4边界完整性检查通过访谈安全员，检查边界完整性检查设备，接入边界完整性检查设备进行测试等过程，测评分析信息系统私自联到外部网络的行为。5网络入侵防范通过访谈安全员，检查网络边界处的入侵检查设备IDS等过程，测评分析信息系统对攻击行为的识别和处理情况。6网络设备防护通过访谈网络管理员，检查核心交换机、汇聚交换机、接入交换机和接入路由器等网络互联设备，IDS和防火墙等网络安全设备，查看它们的安全配置情况，包括身份鉴别、权限分离、登录失败处理、限制非法登录和登录连接超时等，考察网络设备自身的安全防范情况。1.1.3、主机安全测评在内容上，主机安全层面测评实施过程涉及以下几个方面（以安全保护二级基本指标为例）：主机安全测评指标描述序号工作单元名称工作单元描述1身份鉴别对各主机服务器和终端设备相应操作系统或数据库的身份鉴别情况进行配置检查，测评分析被测系统主机的身份鉴别能力。2访问控制检查各主机服务器和终端设备相应操作系统或数据库的访问控制设置情况，包括安全策略覆盖、控制粒度以及权限设置情况等，测评分析被测系统主机的访问控制能力。3安全审计访谈安全审计员，询问主机系统的安全审计策略，查看安全审计配置是否符合安全审计策略；对审计相关资源是否进行了保护。4入侵防护检查入侵防范措施是否检测到对重要服务器进行入侵的行为，能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间，并在发生严重入侵事件时提供报警；对重要程序的完整性进行检测，并在检测到完整性受到破坏后具有恢复的措施；操作系统应遵循最小安装的原则5恶意代码防范检查主机系统是否采取恶意代码实时检测与查杀措施，恶意代码实时检测与查杀措施的部署是否符合安全策略并统一管理。6资源控制检查主要服务器操作系统，查看是否设定了终端接入方式、网络地址范围等条件限制终端登录并对CPU、硬盘、内存、网络等资源的使用情况进行监控，是否可以正确示警。1.1.4、应用安全测评在内容上，应用安全层面测评实施过程应用安全涉及以下几个方面（以安全保护二级基本指标为例）：应用安全测评指标描述序号工作单元名称工作单元描述1身份鉴别检查应用系统是否采取身份标识和鉴别措施，具体措施有哪些；系统采取何种措施防止身份鉴别信息被冒用2访问控制检查主要应用系统，查看系统是否提供访问控制机制；是否依据安全策略控制用户对客体的访问；是否对重要资源设置敏感标记并严格控制。3安全审计检查主要应用系统，查看其当前审计范围是否覆盖到每个用户；检查主要应用系统，查看其审计策略是否覆盖系统内重要的安全相关事件，并对审计相关资源进行保护。4通信完整性检查设计/验收文档，查看其是否有通信完整性的说明，如果有则查看其是否是用密码技术来保证通信过程中数据的完整性的描述；测试主要应用系统，可通过获取通信双方的数据包，查看通信报文是否含有加密的验证码5通信保密性检查主要应用系统是否能在通信双方建立连接之前，利用密码技术进行会话初始化验证；查看系统在通信过程中，对整个报文或会话过程进行加密的功能是否有效6软件容错检查主要应用系统，查看业务系统是否对人机接口输入或通信接口输入的数据进行有效性检验；测试主要应用系统，可通过对人机接口输入的不同长度或格式的数据，查看系统的反应，验证系统人机接口有效性检验功能是否正确并提供自动恢复功能。7资源控制检查主要应用系统，查看是否对系统资源进行控制，采取了何种控制措施。1.1.5、数据安全及备份恢复测评在内容上，数据安全及备份恢复层面测评实施过程涉及以下几个方面（以安全保护二级基本指标为例）：数据安全及备份恢复测评指标描述序号工作单元名称工作单元描述1数据完整性通过访谈管理员，检查系统管理数据、鉴别信息和重要业务数据在传输过程、存储过程中完整性受到破坏后采取的恢复措施的有效性2数据保密性通过访谈管理员，测试敏感数据传输和存储过程中的保密性措施的有效性，测试信息系统的数据保密性措施3数据备份与恢复通过访谈管理员，实际检查数据备份与恢复功能等手段，测试信息系统的数据备份与恢复措施的有效性1.1.6、安全管理制度测评安全管理制度测评主要关注管理制度体系、制定与发布以及评审和修订等3方面，涉及安全主管、安全管理人员、管理制度文档、各类操作规程文件和操作记录等，具体测评指标包括但不限于下表。安全管理制度测评指标描述序号安全子类测评指标描述1管理制度测评信息系统管理制度在内容覆盖上是否全面、完善。2制定与发布测评信息系统管理制度的制定和发布过程是否遵循一定的流程。3评审和修订测评信息系统管理制度定期评审和修订情况。1.1.7、安全管理机构测评安全管理机构测评主要关注岗位设置、人员配备、授权和审批等几个方面，涉及安全主管、相关管理制度以及相关工作会议记录等测评对象，具体测评指标包括但不限于下表。安全管理机构测评指标描述序号安全子类测评指标描述1岗位设置测评信息系统安全主管部门设置情况以及各岗位设置和岗位职责情况。2人员配备测评信息系统各个岗位人员配备情况。3授权和审批测评信息系统对关键活动的授权和审批情况。4沟通和合作测评信息系统内部部门间、与外部单位间的沟通与合作情况。5审核和检查测评信息系统安全工作的审核和检查情况。1.1.8、人员安全管理测评人员安全管理测评实施过程关注人员录用、人员离岗、人员考核等几个方面，涉及安全主管、人事管理人员、相关管理制度以及相关工作记录等对象，具体测评指标包括但不限于下表。人员安全管理测评指标描述序号安全子类测评指标描述1人员录用测评信息系统录用人员时是否对人员提出要求以及是否对其进行各种审查和考核。2人员离岗测评信息系统人员离岗时是否按照一定的手续办理。3人员考核测评是否对人员进行日常的业务考核和工作审查。4安全意识教育和培训测评是否对人员进行安全方面的教育和培训。5外部人员访问管理测评对第三方人员访问（物理、逻辑）系统是否采取必要控制措施。1.1.9、系统建设管理测评系统建设管理测评涉及系统定级、安全方案设计和产品采购和使用等9个方面，涉及系统建设负责人、各类管理制度、操作规程文件和执行过程记录等测评对象，具体测评指标包括但不限于下表。系统建设管理测评指标描述序号安全子类测评指标描述1系统定级测评是否按照一定要求确定系统的安全等级。2安全方案设计测评系统整体的安全规划设计是否按照一定流程进行。3产品采购和使用测评是否按照一定的要求进行系统的产品采购。4自行软件开发测评自行开发的软件是否采取必要的措施保证开发过程的安全性。5外包软件开发测评外包开发的软件是否采取必要的措施保证开发过程的安全性和日后的维护工作能够正常开展。6工程实施测评系统建设的实施过程是否采取必要的措施使其在机构可控的范围内进行。7测试验收测评系统运行前是否对其进行测试验收工作。8系统交付测评是否采取必要的措施对系统交付过程进行有效控制。9安全服务商选择测评是否选择符合国家有关规定的安全服务单位进行相关的安全服务工作。1.1.10、系统运维管理测评系统运维管理测评主要关注环境管理、资产管理和介质管理等几个方面，主要涉及安全主管、各类运维人员、各类管理制度、操作规程文件和执行过程记录等测评对象，具体测评指标包括但不限于下表。系统运维管理测评指标描述序号安全子类测评指标描述1环境管理测评是否采取必要的措施对机房的出入控制以及办公环境的人员行为等方面进行安全管理。2资产管理测评是否采取必要的措施对系统的资产进行分类标识管理。3介质管理测评是否采取必要的措施对介质存放环境、使用、维护和销毁等方面进行管理。4设备管理测评是否采取必要的措施确保设备在使用、维护和销毁等过程安全。5网络安全管理测评是否采取必要的措施对系统的安全配置、系统账户、漏洞扫描和审计日志等方面进行有效的管理。6系统安全管理测评是否采取必要的措施对网络的安全配置、网络用户权限和审计日志等方面进行有效的管理，确保网络安全运行。7恶意代码防护管理测评是否采取必要的措施对恶意代码进行有效管理，确保系统具有恶意代码防范能力。8密码管理测评是否能够确保信息系统中密码算法和密钥的使用符合国家密码管理规定。9变更管理测评是否采取必要的措施对系统发生的变更进行有效管理10备份和恢复管理测评是否采取必要的措施对重要业务信息，系统数据和系统软件进行备份，并确保必要时能够对这些数据有效地恢复。11安全事件处置测评是否采取必要的措施对安全事件进行等级划分和对